Агенти штучного інтелекту, які можуть переглядати Інтернет і виконувати завдання від вашого імені, мають неймовірний потенціал, але також створюють нові ризики для безпеки.
Нещодавно команда Brave Software знайшла та розкрила тривожний недолік у браузері Comet від Perplexity, який поставив під загрозу облікові записи користувачів та іншу конфіденційну інформацію.
Нова загроза: маніпулювання ШІ-асистентами
Сучасні браузери активно розвивають можливості штучного інтелекту, надаючи користувачам ШІ-асистентів, які можуть не лише відповідати на запитання, а й самостійно виконувати дії в інтернеті. Замість простого “Підсумуй, що на цій сторінці написано про рейси до Лондона”, тепер можна сказати: “Забронюй мені рейс до Лондона на наступну п’ятницю.” ШІ не просто читає, а переглядає веб-сайти та самостійно виконує транзакції.
Проте така потужна функціональність створює серйозні виклики для безпеки та приватності. Що станеться, якщо модель “згалюцинує” і виконає дії, які ви не просили? Або ще гірше — що, якщо звичайний веб-сайт або коментар у соціальних мережах зможе вкрасти ваші облікові дані чи інші конфіденційні дані, додавши невидимі інструкції для ШІ-асистента?
Виявлена уразливість
Дослідники з компанії Brave виявили критичну уразливість в агентному браузері Perplexity Comet. Проблема полягає в тому, як Comet обробляє контент веб-сторінок: коли користувачі просять “підсумувати цю веб-сторінку”, система передає частину вмісту сторінки безпосередньо до великої мовної моделі, не розрізняючи інструкції користувача та неперевірений контент із веб-сайту.
Це дозволяє зловмисникам вбудовувати шкідливі команди, які ШІ сприйматиме як інструкції до виконання. Наприклад, зловмисник може отримати доступ до електронної пошти користувача через підготовлений текст на веб-сторінці.
Як працює атака
Атака відбувається в чотири етапи:
- Підготовка: Зловмисник вбудовує шкідливі інструкції у веб-контент різними способами — через білий текст на білому фоні, HTML-коментарі або інші невидимі елементи. Альтернативно, він може внести шкідливі підказки в користувацький контент у соціальних мережах, наприклад у коментарі Reddit або пости Facebook.
- Активація: Нічого не підозрюючий користувач переходить на цю веб-сторінку та використовує функцію ШІ-асистента браузера, наприклад, натискає кнопку “Підсумувати цю сторінку”.
- Ін’єкція: Коли ШІ обробляє контент веб-сторінки, він бачить приховані шкідливі інструкції. Не маючи змоги відрізнити контент, який слід підсумувати, від інструкцій, яким не треба слідувати, ШІ сприймає все як запити користувача.
- Експлуатація: Впроваджені команди інструктують ШІ зловмисно використовувати інструменти браузера, наприклад, переходити на банківський сайт користувача, витягати збережені паролі або передавати конфіденційну інформацію на сервер, контрольований зловмисником.
Демонстрація атаки
Для ілюстрації серйозності цієї уразливості дослідники створили практичну демонстрацію:
- Користувач відвідує пост Reddit з коментарем, що містить інструкції для ін’єкції підказок, приховані за спойлер-тегом
- Користувач натискає кнопку “Підсумувати поточну веб-сторінку” в браузері Comet
- Під час обробки сторінки для підсумовування ШІ-асистент Comet бачить та обробляє ці приховані інструкції
- Шкідливі інструкції командують ШІ Comet:
- Перейти до облікового запису Perplexity і витягти електронну адресу користувача
- Увійти в систему з цією адресою для отримання одноразового пароля
- Перейти до Gmail, де користувач уже увійшов у систему, і прочитати отриманий код
- Передати як електронну адресу, так і одноразовий пароль, відповідаючи на оригінальний коментар Reddit
Таким чином, зловмисник дізнається електронну адресу жертви і може захопити їхній обліковий запис Perplexity.
Наслідки для безпеки
Ця атака створює серйозні виклики для існуючих механізмів веб-безпеки. Коли ШІ-асистент слідує шкідливим інструкціям з неперевіреного контенту веб-сторінки, традиційні захисні заходи, такі як політика одного походження (Same-Origin Policy) або спільний доступ до ресурсів різного походження (CORS), стають абсолютно безкорисними.
ШІ працює з повними привілеями користувача в усіх автентифікованих сеансах, надаючи потенційний доступ до банківських рахунків, корпоративних систем, приватної електронної пошти, хмарних сховищ та інших сервісів.
Можливі заходи захисту
Дослідники запропонували кілька стратегій, які могли б запобігти атакам такого типу:
Розрізнення інструкцій користувача та контенту веб-сайту: Браузер повинен чітко відокремлювати інструкції користувача від вмісту веб-сайту при надсиланні їх як контексту до бекенду.
Перевірка відповідності завдань: Дії, які модель пропонує браузеру виконати, повинні бути незалежно перевірені на відповідність запитам користувача.
Підтвердження для критичних дій: Модель повинна вимагати явної взаємодії з користувачем для дій, пов’язаних із безпекою та приватністю.
Ізоляція агентного перегляду: Агентний перегляд повинен бути ізольований від звичайного перегляду веб-сторінок, оскільки це потужний, але ризикований режим.
Розкриття уразливості
Хронологія повідомлення про уразливість:
- 25 липня 2025: Виявлення уразливості та повідомлення Perplexity
- 27 липня 2025: Perplexity підтвердила уразливість та впровадила початкове виправлення
- 28 липня 2025: Повторне тестування показало, що виправлення було неповним
- 11 серпня 2025: Надіслано тижневе сповіщення про публічне розкриття
- 13 серпня 2025: Фінальне тестування підтвердило, що уразливість, схоже, виправлена
- 20 серпня 2025: Публічне розкриття деталей уразливості
Висновки
Ця уразливість у Perplexity Comet висвітлює фундаментальний виклик агентних ШІ-браузерів: забезпечення того, щоб агент виконував лише дії, які відповідають тому, що хоче користувач. Оскільки ШІ-асистенти отримують більш потужні можливості, атаки непрямої промпт-ін’єкції становлять серйозні ризики для веб-безпеки.
Розробники браузерів повинні впровадити надійні захисні заходи проти цих атак до розгортання ШІ-агентів з потужними можливостями веб-взаємодії. Безпека та приватність не можуть бути другорядними в гонці за створення більш здатних інструментів ШІ.
Майбутнє агентного перегляду залежить від того, наскільки добре ми зможемо захистити користувачів від цих нових типів загроз, зберігаючи при цьому переваги потужних ШІ-асистентів.
